OPLYSNINGER OM DEN GENERELLE FORORDNING OM DATABESKYTTELSE
Overordnede arbejdsmetoder med GDPR
Der er flere horisontale arbejdsmetoder med GDPR, som kan være nyttige at kende og bygge videre på.
Et godt udgangspunkt er at inddrage alle i aktiviteterne.
Det er godt at inddrage alle i aktiviteterne i forbindelse med arbejdet med GDPR. Ledelsen arbejder med GDPR på strategisk plan, men det er personalet, der i praksis arbejder med GDPR i deres daglige arbejde. Medarbejderne kan derfor have meget gode færdigheder og viden om, hvordan databeskyttelsesarbejdet kan forbedres og strømlines. Desuden kan det være gavnligt for arbejdsmoral, kreativitet og arbejdsmiljø at inddrage medarbejderne og få dem til at føle, at de bidrager til forbedringer.
Nogle horisontale arbejdsmetoder med den generelle forordning om databeskyttelse
Arbejde smidigt med den generelle forordning om databeskyttelse
Det er godt at arbejde smidigt med den generelle forordning om databeskyttelse for let at tilpasse databeskyttelsesarbejdet til eventuelle ændringer. Desuden kan det gøre det lettere at forbedre arbejdet regelmæssigt og inddrage medarbejderne i det, hvilket bl.a. kan øge kreativiteten. Let at forklare er en smidig tilgang, når man arbejder i forskellige faser hen imod en overordnet vision. Mellem faserne er der mulighed for at analysere arbejdet og forbedre det med henblik på næste fase. Det er vigtigt at male visionen for medarbejderne under arbejdet, så de kan forfølge målbilledet.
Proces-kortlægning
For at skabe processer, der er så effektive og klare som muligt, er det nyttigt at starte med en kortlægning af processen. Medarbejderne undersøger med andre ord, hvordan de får adgang til og behandler personoplysninger i deres daglige arbejde. Det er nyttigt at gøre dette i grupper såsom hver afdeling, da medlemmerne af afdelingen normalt behandler de samme typer personoplysninger.
Eksempler på almindelige behandlinger, der finder sted dagligt i virksomheder:
Logning og lagring af oplysninger om, hvilke medarbejdere der har brugt deres adgangskort til at få adgang til arbejdspladsens lokaler,
Registrering af personoplysninger i forbindelse med oprettelse af loginoplysninger eller IT-afdelingens ydelse af støtte til personalet.
Indsamling af de registreredes brugernavne på de sociale medier i forbindelse med virksomhedens levering af kundeservice via sine sociale medier.
Registrering af jobsøgende i rekrutteringsprocessen, når folk indsender jobansøgninger til virksomheden.
5S-model
Et godt udgangspunkt for arbejdet med GDPR er at starte med den såkaldte 5S-model. Det er en gennemsigtig model, der indeholder gode elementer, der skal gennemføres i det praktiske arbejde med at overholde GDPR.
Sort - Sortere dokumenter og kontrakter
Virksomhederne har brug for visse GDPR-relaterede kontrakter og dokumenter. Hvad der præcist er behov for, kræver en individuel vurdering. Det er nyttigt at sortere dokumentationen, så den er let at finde, hvis det er nødvendigt.
Structure - Systematisere arbejdet
Det er nyttigt at systematisere processen for, hvordan medarbejderne bør finde de nødvendige oplysninger. F.eks. en mappe til interne procedurer, f.eks. hvordan virksomheden skal forholde sig, når en registreret anmoder om, at vedkommendes rettigheder opfyldes. Det er vigtigt at overveje at skabe en god struktur for at gøre arbejdet mere effektivt.
Sanitize - Fjerne unødvendige personoplysninger
Virksomhederne bør slette personoplysninger, når de ikke længere er nødvendige til det formål, hvortil de blev indsamlet. En anden mulighed er at anonymisere dem. Dette spænder fra e-mails, der indeholder personoplysninger, telefonopkaldslogfiler til notater og andre.
Standardise - Standardisere
Ud over betydningen af at undervise i, hvordan GDPR skal håndteres i praksis, er det også nyttigt at beskrive den skriftligt. Skriftlige politikker, procedurer, skabeloner og tjeklister kan standardisere databeskyttelsesarbejdet. Desuden er det nyttigt hele tiden at søge at forbedre databeskyttelsen og inddrage medarbejderne i forbedringsprocessen.
Sustain - Skabe gode vaner
For at medarbejderne kan overholde GDPR i deres daglige arbejde, er det godt at skabe gode vaner. Det er et positivt skridt at give medarbejderne indflydelse på databeskyttelsesarbejdet, da det kan øge kreativiteten og motivationen og samtidig forbedre deres forståelse. Desuden er det godt at skabe vaner, der er lette at ændre, da arbejdet med GDPR sjældent er statisk.
Forbedringer
Det er vigtigt altid at forsøge at forbedre arbejdet med GDPR over tid. Med henblik herpå er det nyttigt at inddrage alle i de aktiviteter, der vedrører GDPR, i deres opgaver. Ved at foretage proceskortlægning og arbejde smidigt er der en god chance for at opdage forbedringsmuligheder og være i stand til at gennemføre dem.
Databeskyttelseskultur i virksomheder
Når man taler om databeskyttelseskulturen i en virksomhed, handler det normalt om de normer, værdier og holdninger, der fører til medarbejdernes adfærd i en virksomhed. Det er derfor vigtigt at have kerneværdier, som ikke ændrer sig, selv om arbejdet udvikler sig over tid. Virksomhederne bør bestræbe sig på at opbygge en stærk databeskyttelseskultur, der er en del af hele organisationskulturen.
Læring i centrum af databeskyttelseskulturen
GDPR er et omfattende sæt regler, og der kan være meget at holde styr på. Dette er navnlig tilfældet for større virksomheder med et stort antal medarbejdere fordelt på forskellige afdelinger, der behandler mange personoplysninger. Det er positivt at have læring i centrum for databeskyttelseskulturen for at give personalet de bedste muligheder for at overholde GDPR i praksis.
LÆS MERE OM DEN GENERELLE FORORDNING OM DATABESKYTTELSE
Organisatoriske foranstaltninger, som virksomheden kan træffe for at overholde GDPR
Virksomhederne skal gennemføre passende tekniske og organisatoriske foranstaltninger for at beskytte de behandlede personoplysninger og overholde de øvrige regler i GDPR. F.eks. for at kunne fastsætte bestemmelser om registreredes rettigheder. Almindelige eksempler på organisatoriske sikkerhedsforanstaltninger omfatter etablering af interne procedurer, gennemførelse af tilladelsesforvaltning, uddannelse af personale og gennemførelse af konsekvensanalyser.